linux DDoS & CC防护之(四)fail2ban 的安装及其简单应用

安装failban最新版本(自v1.0版本后对ipv6的支持)

#下载代码,并安装
	yum install git -y
	git clone https://github.com/fail2ban/fail2ban.git
	cd fail2ban
	python setup.py install 

	#这是yum安装,版本是 v0.9.7,你可以忽略
	#yum install epel-release
	#yum install fail2ban fail2ban-systemd

#设置centos的systemctl服务,以便自启动及后台运行(用最新的git安装方式才配置,yum安装的不需要配置)
#centos7,文件在(/fail2ban/build/)
	cp /root/fail2ban/build/fail2ban.service /usr/lib/systemd/system/
	chmod +x /usr/lib/systemd/system/fail2ban.service

#centos6,文件在(/fail2ban/files/)
	cp /root/fail2ban/files/redhat-initd /etc/init.d/fail2ban
	chkconfig fail2ban on

启动fail2ban,及简单封堵情况查询

#先启动防火墙
	systemctl enable firewalld
	systemctl start firewalld

#执行以下命令以在服务器上运行Fail2Ban保护软件。
	systemctl enable fail2ban
	systemctl start fail2ban 

#检查Fail2Ban禁止的IP
	iptables -L -n

#检查Fal2Ban状态,使用以下命令检查Fail2Ban监狱的状态:
	fail2ban-client status

#查看某个防护模块,屏蔽的ip列表状态
	fail2ban-client status ssh-iptables

[root@localhost jail.d]# fail2ban-client status ssh-iptables
Status for the jail: ssh-iptables
|- Filter
|  |- Currently failed:	0
|  |- Total failed:	3
|  `- File list:	/var/log/secure
`- Actions
   |- Currently banned:	1
   |- Total banned:	1
   `- Banned IP list:	192.168.60.5

#如果配置出错,请用此条命令启动,可以看到错误日志
	(如果重启 iptables ,必须重启 fail2ban)
	/usr/bin/fail2ban-client -x start

#取消IP地址
为了从禁止列表中删除IP地址,将参数IPADDRESS设置为需要禁止的适当IP。名称“ sshd”是监狱的名称,在这种情况下,就是我们上面配置的“ sshd”监狱。以下命令完成该工作。
	fail2ban-client set sshd unbanip IP地址

#添加白名单
	fail2ban-client set ssh-iptables addignoreip IP地址 

#删除白名单
	fail2ban-client set ssh-iptables delignoreip IP地址

示例:使用fail2ban防御ssh暴力破解,及其fail2ban的配置文件讲解

第一部分:配置文件及其介绍
#fail2ban的日志所在目录/var/log/audit ,下面这个日志是记录ssh认证登录的相关信息
	cat /var/log/audit/audit.log

#fail2ban的主配置文件
	/etc/fail2ban			fail2ban 服务配置目录
	/etc/fail2ban/action.d		iptables 、mail 等动作文件目录
	/etc/fail2ban/fail2ban.conf	fail2ban 配置文件,定义日志级别、日志、sock 文件位置等

	/etc/fail2ban/filter.d		条件匹配文件目录,过滤日志关键内容
	/etc/fail2ban/jail.conf		fail2ban 防护配置文件,主要编辑这个文件,配置防护

#在配置时,我们应该避免修改由fail2ban安装创建的文件,我们应该去编写具有.local扩展名的新文件。在.local新文件里配置的内容会覆盖jail.conf内容里相同的值。
	cat /etc/fail2ban/jail.conf 	#该文件可以作为我们的示例文件,建议不要修改不要删除。


第二部分:fail2ban 结合 iptables 实现防暴力破解,适用于centos6
#配置ssh防暴力破解的配置文件,这个可以是单独的文件,也可以是把多个模块功能写到一个文件中
	vi /etc/fail2ban/jail.d/jail.local

[DEFAULT]	
ignoreip = 127.0.0.1/8	
bantime  = 3600		
findtime  = 600	
maxretry = 5	
# ignoreip	:用于指定哪些地址ip可以忽略 fail2ban 防御,以空格间隔。 	
# bantime	:非法 IP 被屏蔽时间(秒),-1 代表永远封锁
# findtime	:设置多长时间(秒)内超过 maxretry 限制次数即被封锁
# maxretry	:最大尝试次数
# backend = auto ## 日志修改检测机制(gamin 、polling 、auto 三种)

[ssh-iptables]	
enabled = true	
filter = sshd
# port = 22	
action = iptables[name=SSH, port=ssh, protocol=tcp]	
logpath = /var/log/secure	
maxretry = 3
# sendmail-whois[name=SSH, dest=you@example.com, sender=fail2ban@example.com, sendername="Fail2Ban"] ## 邮件通知参数 ## 收件人地址 ## 发件人地址 
# banaction = firewallcmd-ipset	#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键,如果是用Iptables请不要这样填写

# [ssh-iptables]	:分类设置(基于 SSHD 服务的防护)
# enabled	:是否开启防护,false 为关闭	
# filter	:过滤规则 filter 名称,对应 filter.d 目录下的 sshd.conf
# action	:动作参数
# logpath 	:检测系统登陆日志文件
# banaction	:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口



#重载fail2ban,当配置文件发生变更时
	fail2ban-client reload



第三部分:fail2ban 结合firewalld 实现防暴力破解,适用于centos7

fail2ban 防止CC & DDos


                
声明:本文为原创,作者为 辣条①号,转载时请保留本声明及附带文章链接:https://boke.wsfnk.com/archives/867.html

最后编辑于:2019/10/5作者: 辣条①号

暂无评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注